Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan kunci terkelola pelanggan (CMK)
Jika Anda berencana menggunakan kunci yang dikelola pelanggan untuk mengenkripsi model impor kustom Anda, selesaikan langkah-langkah berikut:
-
Buat kunci yang dikelola pelanggan dengan AWS Key Management Service.
-
Lampirkan kebijakan berbasis sumber daya dengan izin untuk peran tertentu untuk membuat dan menggunakan model impor khusus.
Buat kunci terkelola pelanggan
Pertama, pastikan Anda memiliki CreateKey izin. Kemudian ikuti langkah-langkah membuat kunci untuk membuat kunci yang dikelola pelanggan baik di AWS KMS konsol atau operasi CreateKeyAPI. Pastikan untuk membuat kunci enkripsi simetris.
Pembuatan kunci mengembalikan kunci Arn yang dapat Anda gunakan sebagai importedModelKmsKeyId saat mengimpor model kustom dengan impor model khusus.
Buat kebijakan kunci dan lampirkan ke kunci yang dikelola pelanggan
Kebijakan utama adalah kebijakan berbasis sumber daya yang Anda lampirkan ke kunci yang dikelola pelanggan untuk mengontrol akses ke sana. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Anda dapat menentukan kebijakan kunci saat membuat kunci terkelola pelanggan. Anda dapat memodifikasi kebijakan kunci kapan saja, tetapi mungkin ada penundaan singkat sebelum perubahan tersedia secara keseluruhan AWS KMS. Untuk informasi selengkapnya, lihat Mengelola akses ke kunci terkelola pelanggan di Panduan Pengembang Layanan Manajemen AWS Kunci.
Enkripsi model kustom impor yang dihasilkan
Untuk menggunakan kunci yang dikelola pelanggan untuk mengenkripsi model kustom yang diimpor, Anda harus menyertakan AWS KMS operasi berikut dalam kebijakan kunci:
-
kms: CreateGrant — membuat hibah untuk kunci yang dikelola pelanggan dengan mengizinkan akses utama layanan Amazon Bedrock ke kunci KMS yang ditentukan melalui operasi hibah. Untuk informasi selengkapnya tentang hibah, lihat Hibah AWS KMS di Panduan Pengembang Layanan Manajemen AWS Utama.
catatan
Amazon Bedrock juga menyiapkan kepala sekolah pensiun dan secara otomatis menghentikan hibah setelah tidak lagi diperlukan.
-
kms: DescribeKey — menyediakan detail kunci yang dikelola pelanggan untuk memungkinkan Amazon Bedrock memvalidasi kunci.
-
kms: GenerateDataKey — Menyediakan detail kunci yang dikelola pelanggan untuk memungkinkan Amazon Bedrock memvalidasi akses pengguna. Amazon Bedrock menyimpan ciphertext yang dihasilkan bersama model kustom yang diimpor untuk digunakan sebagai pemeriksaan validasi tambahan terhadap pengguna model kustom yang diimpor
-
KMS: Decrypt — Mendekripsi ciphertext yang disimpan untuk memvalidasi bahwa peran memiliki akses yang tepat ke kunci KMS yang mengenkripsi model kustom yang diimpor.
Berikut ini adalah contoh kebijakan yang dapat Anda lampirkan ke kunci untuk peran yang akan Anda gunakan untuk mengenkripsi model kustom yang diimpor:
{ "Version": "2012-10-17", "Id": "KMS key policy for a key to encrypt an imported custom model", "Statement": [ { "Sid": "Permissions for model import API invocation role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:user/role" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" } ] }
Dekripsi model kustom impor terenkripsi
Jika Anda mengimpor model kustom yang telah dienkripsi oleh kunci terkelola pelanggan lain, Anda harus menambahkan kms:Decrypt izin untuk peran yang sama, seperti dalam kebijakan berikut:
{ "Version": "2012-10-17", "Id": "KMS key policy for a key that encrypted a custom imported model", "Statement": [ { "Sid": "Permissions for model import API invocation role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:user/role" }, "Action": [ "kms:Decrypt" ], "Resource": "*" } ] }
